Azure AD でシングルサインオンを構成するために、対象グループにTeamsで作成したグループを割り当てようとしたところ、意図したグループが検索して表示されずに割り当てできません。
シングルサイオンや、App Proxyの割り当て、ライセンスの自動割り当てなど応用範囲は広いのに、使えないのは困ります。
その原因と、解決方法を備忘を兼ねてまとめてみました。
解決方法
症状
原因
余談ですが・・・
Power Appsでも
参考資料
解決方法
Azure AD のPowerShell コマンドレットで、以下を実行すると、割り当てが可能になります。
Set-AzureADGroup -ObjectId "<ObjectId>" -securityEnable $true
また、こちらのコマンドレットで有効化されているか確認できます。
Get-AzureADGroup -ObjectId "<ObjectId>" | select-object displayname,securityenabled
症状
Azure AD 管理センターや、Microsoft 365 管理センター上で、利用したいMicrosoft 365 グループ(Teamsからユーザーが作成したグループです)が表示されることは確認しました。
Azure AD のエンタープライズアプリケーションにて、上記のグループに割り当てたいのですが、検索しても表示されません。
かといって、すべてのグループが割り当てできないというわけではなく、試したところ以下の通りとなりました。
| グループの種類 | 可・不可 |
|---|---|
| セキュリティグループ | 可 |
| メールが可能なセキュリティグループ | 可 |
| Microsoft 365 グループ | 可のグループ、不可のグループがある |
| 配布リスト | 不可 |
配布リストは不可なのは当然として、Microsoft 365 グループで可不可混在というのが気になります。
古いM365グループは基本的に割り当て可。比較的新しいM365グループは不可でした。
Azure AD管理センターでプロパティを見ても違いが見つけられず、これはPowerShellで設定するような属性があるに違いありません。
原因
結論からいうと、上記のPowerShellコマンドレットで securityEnable 属性をTrueに変更したところ、割り当て可能になりました。
Docsのgroupリソースの種類に以下の記述がありました。
- securityEnabled
- ブール値
- グループがセキュリティ グループであるかどうかを指定します。既定で返されます。 $filter (eq、ne、NOT、in) をサポートします。
上記をPowerShellでTrueにすると、即時割り当てが可能になりました。解決!
問い合わせしてみたところ、この属性、
- Teamsのチームを作成した場合は、False
- Azure AD で作成した場合は、True
余談ですが・・・
以前、グループのメンバーに入れたら、自動でMicrosoft 365 のライセンスを割り当てる(グループベースのライセンス割り当て)にて、「Microsoft365グループはライセンス自動割り当てには使えません」って書いてましたが、これを有効化したら利用できますね。
Power Appsでも
この記事をTwitterに投稿したところ、hrfmjpさんよりPower Appsのキャンバスアプリの共有にも同じ設定が必要だと教えていただきました!ありがとうございます。
おおお。以前、Power Apps で作ったアプリをチームで共有するために変更した属性と同じです!本来は記事にされたような AAD 側の割り当てとかで利用するための属性なんですね。https://t.co/ymSB1nHjAH
— Ota Hirofumi 📖 Microsoft Teams 踏み込み活用術 (@hrfmjp) July 23, 2021
参考資料
Set-AzureADGroup - Docs
https://docs.microsoft.com/ja-jp/powershell/module/azuread/set-azureadgroup
group リソースの種類 - Docs
https://docs.microsoft.com/ja-jp/graph/api/resources/group
Power Apps のキャンバスアプリを Microsoft Teams のチーム(Office 365 グループ)のメンバーと共有する
https://idea.tostring.jp/?p=5094
0 件のコメント:
コメントを投稿